Information Security Policy

Information Security Policy

資訊安全風險管理架構、政策及具體管理方案


資訊安全風險管理架構: 由總經理室所轄之資訊處負責資訊安全,該處設置資訊主管一名與專業資訊人員數名統籌相關事宜。
                                      本公司稽核室擬定資訊安全監理之查核單位,並就相關內部控制程序管理及定期進行內部稽核,以降低內部資安風險。

資訊安全政策:
目的:
為強化資訊安全管理,確保所屬之資訊資產的機密性、完整性及可用性,以提供本公司之資訊業務持續運作之資訊環境,並符合相關法規之要求,使其免於遭受內、外部的蓄意或意外之威脅,特定此政策規範,作為本公司全體員工資訊安全之依循。

定義與目標:
為確保各項資訊系統免受任何因素之干擾、破壞、入侵或任何不當之行為,經由適當的系統規劃、程序規範及行政管理,以防範來自內、外部的威脅,達到維護資訊系統安全的目的。並在資訊系統遭受來自內、外部人員不當使用或蓄意破壞等緊急事故時,公司能迅速應變處置,在最短時間內回復正常運作,降低該事故可能帶來損害與不便。

組織架構:
由總經理室所轄之資訊處負責資訊安全並由專職人員統籌相關事宜,並就相關內部控制程序管理及定期進行內部稽核。

適用對象:
適用於本公司所有資訊系統及其使用者。資訊使用者係包含全體員工及其他經授權使用之人員。

資訊安全管理方案:
1. 電腦設備安全管理
  • 本公司電腦主機、各應用伺服器等設備均設置於專用機房,機房門禁採用感應刷卡進出,且保留進出紀錄存查。
  • 電腦機房備有兩台獨立空調分時運轉並備援,確保機房內電腦設備於適當的溫度下運轉;並設置藥劑式滅火器與定期更換,防止意外災害發生。
  • 機房主機配置穩壓與不斷電設備,並連結公司大樓樓下自備的發電機供電系統,可避免電力瞬間斷電造成系統停機,也確保臨時停電時不會中斷電腦應用系統的運作。
2. 網路安全與病毒防護管理
  • 與外界網路連線的入口,配置企業級防火牆與設定存取規則,經常更新版本以因應各種網路攻擊。
  • 伺服器與同仁終端電腦設備內均安裝有端點防護軟體,並自動更新病毒碼方式,確保能阻擋最新型的病毒,同時可偵測、防止具有潛在威脅性的系統執行檔之安裝行為。
  • 電子郵件伺服器前端有配置有郵件防毒、與垃圾郵件過濾閘道器,防堵病毒或垃圾郵件進入使用者端的電腦。
  • 租用兩條不同電信公司數據線路,透過頻寬管理設備,兩線路互為備援使用,確保網路通訊不中斷。
3. 系統存取控制
  • 同仁對各應用系統的使用,透過公司內部規定的系統權限申請程序,經權責主管核准後,由資訊處建立系統帳號,並經各系統管理員依所申請的功能權限做授權方得存取。
  • 帳號的密碼設置,規定適當的強度,要求必須英文數字、特殊符號混雜,符合密碼原則。
  • 同仁辦理離(休)職手續時,必須會簽資訊處,進行各系統帳號的刪除或停用作業。
4. 資料備份與復原演練
  • 建置備份管理系統,採取數份備份原則,本地端機房使用不同的備份媒介儲存,其餘備份資料存放於異地。
  • 災害復原演練:重大系統每半年實施一次演練,選定還原日期基準點後,由備份媒體回存於系統主機確認回復資料的完整性,以確保備份媒體的正確性與有效性。
5. 資安宣導與教育訓練
  • 每月對員工發送宣導資安事項郵件及不定期舉辦教育訓練,強化員工資安意識。
Back to Top